Riferimento allo schema di normalizzazione dell'autenticazione advanced security information model (ASIM) (anteprima pubblica)
Lo schema di autenticazione di Microsoft Sentinel viene usato per descrivere gli eventi correlati all'autenticazione utente, all'accesso e alla disconnessa. Gli eventi di autenticazione vengono inviati da molti dispositivi di report, in genere come parte del flusso di eventi insieme ad altri eventi. Ad esempio, Windows invia diversi eventi di autenticazione insieme ad altri eventi di attività del sistema operativo.
Gli eventi di autenticazione includono entrambi gli eventi dei sistemi che si concentrano sull'autenticazione, ad esempio gateway VPN o controller di dominio, e l'autenticazione diretta a un sistema finale, ad esempio un computer o un firewall.
Per altre informazioni sulla normalizzazione in Microsoft Sentinel, vedere Normalizzazione e Advanced Security Information Model (ASIM).
Importante
Lo schema di normalizzazione dell'autenticazione è attualmente in ANTEPRIMA. Questa funzionalità viene fornita senza un contratto di servizio e non è consigliata per i carichi di lavoro di produzione.
Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
Parser
Distribuire parser di autenticazione ASIM dal repository GitHub di Microsoft Sentinel. Per altre informazioni sui parser ASIM, vedere gli articoli Panoramica dei parser ASIM.
Parser di unificazione
Per usare parser che unificano tutti i parser predefiniti di ASIM e assicurarsi che l'analisi venga eseguita in tutte le origini configurate, usare il imAuthentication parser di filtro o il ASimAuthentication parser senza parametri.
Parser specifici dell'origine
Per l'elenco dei parser di autenticazione forniti da Microsoft Sentinel, vedere l'elenco dei parser ASIM:
Aggiungere parser normalizzati personalizzati
Quando si implementano parser personalizzati per il modello di informazioni di autenticazione, denominare le funzioni KQL usando la sintassi seguente:
vimAuthentication<vendor><Product>per parser di filtroASimAuthentication<vendor><Product>per parser senza parametri
Per informazioni sull'aggiunta di parser personalizzati al parser unificatore, vedere Gestione dei parser ASIM.
Filtro dei parametri del parser
I im parser e vim* supportano i parametri di filtro. Anche se questi parser sono facoltativi, possono migliorare le prestazioni delle query.
Sono disponibili i parametri di filtro seguenti:
| Nome | Tipo | Descrizione |
|---|---|---|
| starttime | datetime | Filtrare solo gli eventi di autenticazione eseguiti in o dopo questa volta. |
| endtime | datetime | Filtrare solo gli eventi di autenticazione che hanno terminato l'esecuzione in o prima di questa volta. |
| targetusername_has | string | Filtrare solo gli eventi di autenticazione con uno qualsiasi dei nomi utente elencati. |
Ad esempio, per filtrare solo gli eventi di autenticazione dall'ultimo giorno a un utente specifico, usare:
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Suggerimento
Per passare un elenco di valori letterali ai parametri che prevedono un valore dinamico, usare in modo esplicito un valore letterale dinamico. Ad esempio: dynamic(['192.168.','10.']).
Contenuto normalizzato
Le regole di analisi dell'autenticazione normalizzate sono univoche perché rilevano gli attacchi tra le origini. Ad esempio, se un utente ha eseguito l'accesso a sistemi diversi, non correlati, da paesi/aree geografiche diverse, Microsoft Sentinel rileverà ora questa minaccia.
Per un elenco completo delle regole di analisi che usano eventi di autenticazione normalizzati, vedere Contenuto di sicurezza dello schema di autenticazione.
Panoramica dello schema
Il modello di informazioni di autenticazione è allineato allo schema di entità di accesso OSSEM.
I campi elencati nella tabella seguente sono specifici degli eventi di autenticazione, ma sono simili ai campi in altri schemi e seguono convenzioni di denominazione simili.
Gli eventi di autenticazione fanno riferimento alle entità seguenti:
- TargetUser : informazioni utente usate per l'autenticazione nel sistema. TargetSystem è l'oggetto principale dell'evento di autenticazione e l'alias User aliases un TargetUser identificato.
- TargetApp : l'applicazione è stata autenticata.
- Target : sistema in cui è in esecuzione TargetApp*.
- Attore : l'utente che avvia l'autenticazione, se diverso da TargetUser.
- ActingApp: applicazione usata dall'attore per eseguire l'autenticazione.
- Src: sistema usato dall'attore per avviare l'autenticazione.
La relazione tra queste entità è illustrata in modo ottimale nel modo seguente:
Un attore, che esegue un'applicazione che agisce, ActingApp, in un sistema di origine, Src, tenta di eseguire l'autenticazione come TargetUser in un'applicazione di destinazione, TargetApp, in un sistema di destinazione, TargetDvc.
Dettagli dello schema
Nelle tabelle seguenti Type fa riferimento a un tipo logico. Per altre informazioni, vedere Tipi logici.
Campi comuni di ASIM
Importante
I campi comuni a tutti gli schemi sono descritti in dettaglio nell'articolo Campi comuni ASIM.
Campi comuni con linee guida specifiche
Nell'elenco seguente vengono menzionati campi con linee guida specifiche per gli eventi di autenticazione:
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| EventType | Obbligatorio | Enumerated | Descrive l'operazione segnalata dal record. Per i record di autenticazione, i valori supportati includono: - Logon - Logoff- Elevate |
| EventResultDetails | Consigliato | String | Dettagli associati al risultato dell'evento. Questo campo viene in genere popolato quando il risultato è un errore. I valori consentiti includono: - No such user or password. Questo valore deve essere usato anche quando l'evento originale segnala che tale utente non esiste, senza riferimento a una password.- No such user- Incorrect password- Incorrect key- Account expired- Password expired- User locked- User disabled- Logon violates policy. Questo valore deve essere usato quando l'evento originale segnala, ad esempio, l'autenticazione a più fattori obbligatoria, l'accesso al di fuori dell'orario lavorativo, le restrizioni di accesso condizionale o i tentativi troppo frequenti.- Session expired- OtherIl valore può essere fornito nel record di origine usando termini diversi, che devono essere normalizzati in questi valori. Il valore originale deve essere archiviato nel campo EventOriginalResultDetails |
| EventSubType | Facoltativo | String | Tipo di accesso. I valori consentiti includono: - System- Interactive- RemoteInteractive- Service- RemoteService- Remote - Usare quando il tipo di accesso remoto è sconosciuto.- AssumeRole - In genere usato quando il tipo di evento è Elevate. Il valore può essere fornito nel record di origine usando termini diversi, che devono essere normalizzati in questi valori. Il valore originale deve essere archiviato nel campo EventOriginalSubType. |
| EventSchemaVersion | Obbligatorio | String | La versione dello schema. La versione dello schema documentata qui è 0.1.3 |
| EventSchema | Obbligatorio | String | Il nome dello schema documentato qui è Autenticazione. |
| Campi Dvc | - | - | Per gli eventi di autenticazione, i campi del dispositivo fanno riferimento al sistema che segnala l'evento. |
Tutti i campi comuni
I campi visualizzati nella tabella seguente sono comuni a tutti gli schemi ASIM. Tutte le linee guida specificate in precedenza sostituiscono le linee guida generali per il campo. Ad esempio, un campo potrebbe essere facoltativo in generale, ma obbligatorio per uno schema specifico. Per altri dettagli su ogni campo, vedere l'articolo Campi comuni di ASIM.
| Classe | Campi |
|---|---|
| Obbligatorio | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Consigliato | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Facoltativo | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Campi aggiuntivi - DvcDescription - DvcScopeId - DvcScope |
Campi specifici dell'autenticazione
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| LogonMethod | Facoltativo | String | Metodo utilizzato per eseguire l'autenticazione. Esempi: Username & Password, PKI |
| LogonProtocol | Facoltativo | String | Protocollo utilizzato per eseguire l'autenticazione. Esempio: NTLM |
Campi attore
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| ActorUserId | Facoltativo | String | Rappresentazione univoca, alfanumerica e leggibile del computer dell'attore. Per altre informazioni e per campi alternativi per ID aggiuntivi, vedere L'entità Utente. Esempio: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Facoltativo | String | Ambito, ad esempio il tenant di Microsoft Entra, in cui vengono definiti ActorUserId e ActorUsername . o più informazioni ed elenco dei valori consentiti, vedere UserScope nell'articolo Panoramica dello schema. |
| ActorScopeId | Facoltativo | String | ID ambito, ad esempio l'ID directory di Microsoft Entra, in cui vengono definiti ActorUserId e ActorUsername . per altre informazioni ed elenco dei valori consentiti, vedere UserScopeId nell'articolo Panoramica dello schema. |
| ActorUserIdType | Condizionale | UserIdType | Tipo dell'ID archiviato nel campo ActorUserId . Per altre informazioni ed elenco dei valori consentiti, vedere UserIdType nell'articolo Panoramica dello schema. |
| ActorUsername | Facoltativo | Username | Nome utente dell'attore, incluse le informazioni sul dominio, se disponibili. Per altre informazioni, vedere L'entità User. Esempio: AlbertE |
| ActorUsernameType | Condizionale | UsernameType | Specifica il tipo di nome utente archiviato nel campo ActorUsername . Per altre informazioni e l'elenco dei valori consentiti, vedere UsernameType nell'articolo Panoramica dello schema. Esempio: Windows |
| ActorUserType | Facoltativo | UserType | Tipo dell'attore. Per altre informazioni e l'elenco dei valori consentiti, vedere UserType nell'articolo Panoramica dello schema. Ad esempio: Guest |
| ActorOriginalUserType | Facoltativo | UserType | Tipo di utente segnalato dal dispositivo di report. |
| ActorSessionId | Facoltativo | String | ID univoco della sessione di accesso dell'attore. Esempio: 102pTUgC3p8RIqHvzxLCHnFlg |
Campi applicazione agendo
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| ActingAppId | Facoltativo | String | ID dell'applicazione che autorizza per conto dell'attore, incluso un processo, un browser o un servizio. Ad esempio: 0x12ae8 |
| ActingAppName | Facoltativo | String | Nome dell'applicazione che autorizza per conto dell'attore, incluso un processo, un browser o un servizio. Ad esempio: C:\Windows\System32\svchost.exe |
| ActingAppType | Facoltativo | AppType | Tipo di applicazione che agisce. Per altre informazioni e l'elenco di valori consentiti, vedere AppType nell'articolo Panoramica dello schema. |
| HttpUserAgent | Facoltativo | String | Quando l'autenticazione viene eseguita tramite HTTP o HTTPS, il valore di questo campo è l'intestazione HTTP user_agent fornita dall'applicazione che agisce durante l'esecuzione dell'autenticazione. Ad esempio: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Campi utente di destinazione
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| TargetUserId | Facoltativo | ID utente | Rappresentazione univoca dell'utente di destinazione leggibile, alfanumerica e leggibile dal computer. Per altre informazioni e per campi alternativi per ID aggiuntivi, vedere L'entità Utente. Esempio: 00urjk4znu3BcncfY0h7 |
| TargetUserScope | Facoltativo | String | Ambito, ad esempio il tenant di Microsoft Entra, in cui vengono definiti TargetUserId e TargetUsername . o più informazioni ed elenco dei valori consentiti, vedere UserScope nell'articolo Panoramica dello schema. |
| TargetUserScopeId | Facoltativo | String | ID ambito, ad esempio ID directory Di Microsoft Entra, in cui sono definiti TargetUserId e TargetUsername . per altre informazioni ed elenco dei valori consentiti, vedere UserScopeId nell'articolo Panoramica dello schema. |
| TargetUserIdType | Condizionale | UserIdType | Tipo di ID utente archiviato nel campo TargetUserId . Per altre informazioni ed elenco dei valori consentiti, vedere UserIdType nell'articolo Panoramica dello schema. Esempio: SID |
| TargetUsername | Facoltativo | Username | Nome utente di destinazione, incluse le informazioni sul dominio, se disponibili. Per altre informazioni, vedere L'entità User. Esempio: MarieC |
| TargetUsernameType | Condizionale | UsernameType | Specifica il tipo di nome utente archiviato nel campo TargetUsername . Per altre informazioni ed elenco dei valori consentiti, vedere UsernameType nell'articolo Panoramica dello schema. |
| TargetUserType | Facoltativo | UserType | Tipo dell'utente di destinazione. Per altre informazioni e l'elenco dei valori consentiti, vedere UserType nell'articolo Panoramica dello schema. Ad esempio: Member |
| TargetSessionId | Facoltativo | String | Identificatore della sessione di accesso di TargetUser nel dispositivo di origine. |
| TargetOriginalUserType | Facoltativo | UserType | Tipo di utente segnalato dal dispositivo di report. |
| Utente | Alias | Username | Alias per TargetUsername o per TargetUserId se TargetUsername non è definito. Esempio: CONTOSO\dadmin |
Campi del sistema di origine
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| Src | Consigliato | String | Identificatore univoco del dispositivo di origine. Questo campo può aliasre i campi SrcDvcId, SrcHostname o SrcIpAddr . Esempio: 192.168.12.1 |
| SrcDvcId | Facoltativo | String | ID del dispositivo di origine. Se sono disponibili più ID, usare quello più importante e archiviare gli altri nei campi SrcDvc<DvcIdType>.Esempio: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Facoltativo | String | ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. SrcDvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| SrcDvcScope | Facoltativo | String | L'ambito della piattaforma cloud a cui appartiene il dispositivo. SrcDvcScope esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| SrcDvcIdType | Condizionale | DvcIdType | Tipo di SrcDvcId. Per un elenco di valori consentiti e altre informazioni, vedere DvcIdType nell'articolo Panoramica dello schema. Nota: questo campo è obbligatorio se viene usato SrcDvcId . |
| SrcDeviceType | Facoltativo | DeviceType | Tipo del dispositivo di origine. Per un elenco di valori consentiti e altre informazioni, vedere DeviceType nell'articolo Panoramica dello schema. |
| SrcHostname | Consigliato | Hostname (Nome host) | Nome host del dispositivo di origine, escluse le informazioni sul dominio. Se non è disponibile alcun nome di dispositivo, archiviare l'indirizzo IP pertinente in questo campo. Esempio: DESKTOP-1282V4D |
| SrcDomain | Consigliato | String | Dominio del dispositivo di origine. Esempio: Contoso |
| SrcDomainType | Condizionale | DomainType | Tipo di SrcDomain. Per un elenco di valori consentiti e altre informazioni, vedere DomainType nell'articolo Panoramica dello schema. Obbligatorio se viene usato SrcDomain . |
| SrcFQDN | Facoltativo | String | Nome host del dispositivo di origine, incluse le informazioni sul dominio, se disponibili. Nota: questo campo supporta sia il formato FQDN tradizionale che il formato domain\hostname di Windows. Il campo SrcDomainType riflette il formato utilizzato. Esempio: Contoso\DESKTOP-1282V4D |
| SrcDescription | Facoltativo | String | Testo descrittivo associato al dispositivo. Ad esempio: Primary Domain Controller. |
| SrcIpAddr | Facoltativo | Indirizzo IP | Indirizzo IP del dispositivo di origine. Esempio: 2.2.2.2 |
| SrcPortNumber | Facoltativo | Intero | Porta IP da cui ha avuto origine la connessione. Esempio: 2335 |
| SrcDvcOs | Facoltativo | String | Sistema operativo del dispositivo di origine. Esempio: Windows 10 |
| IpAddr | Alias | Alias per SrcIpAddr | |
| SrcIsp | Facoltativo | String | Provider di servizi Internet (ISP) usato dal dispositivo di origine per connettersi a Internet. Esempio: corpconnect |
| SrcGeoCountry | Facoltativo | Country | Esempio: Canada Per altre informazioni, vedere Tipi logici. |
| SrcGeoCity | Facoltativo | Città | Esempio: Montreal Per altre informazioni, vedere Tipi logici. |
| SrcGeoRegion | Facoltativo | Paese | Esempio: Quebec Per altre informazioni, vedere Tipi logici. |
| SrcGeoLongtitude | Facoltativo | Longitude | Esempio: -73.614830 Per altre informazioni, vedere Tipi logici. |
| SrcGeoLatitude | Facoltativo | Latitude | Esempio: 45.505918 Per altre informazioni, vedere Tipi logici. |
| SrcRiskLevel | Facoltativo | Intero | Livello di rischio associato all'origine. Il valore deve essere regolato in un intervallo di 0 in , con 0 per un rischio non dannoso e 100 per 100un rischio elevato.Esempio: 90 |
| SrcOriginalRiskLevel | Facoltativo | Intero | Livello di rischio associato all'origine, come segnalato dal dispositivo di report. Esempio: Suspicious |
Campi dell'applicazione di destinazione
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| TargetAppId | Facoltativo | String | ID dell'applicazione a cui è richiesta l'autorizzazione, spesso assegnata dal dispositivo di report. Esempio: 89162 |
| TargetAppName | Facoltativo | String | Nome dell'applicazione a cui è necessaria l'autorizzazione, incluso un servizio, un URL o un'applicazione SaaS. Esempio: Saleforce |
| TargetAppType | Facoltativo | AppType | Tipo dell'applicazione che autorizza per conto dell'attore. Per altre informazioni e l'elenco di valori consentiti, vedere AppType nell'articolo Panoramica dello schema. |
| TargetUrl | Facoltativo | URL | URL associato all'applicazione di destinazione. Esempio: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
| LogonTarget | Alias | Alias per TargetAppName, TargetUrl o TargetHostname, a qualsiasi campo che descrive meglio la destinazione di autenticazione. |
Campi di sistema di destinazione
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| Dst | Alias | String | Identificatore univoco della destinazione di autenticazione. Questo campo può aliasre i campi TargerDvcId, TargetHostname, TargetIpAddr, TargetAppId o TargetAppName . Esempio: 192.168.12.1 |
| TargetHostname | Consigliato | Hostname (Nome host) | Nome host del dispositivo di destinazione, escluse le informazioni sul dominio. Esempio: DESKTOP-1282V4D |
| TargetDomain | Consigliato | String | Dominio del dispositivo di destinazione. Esempio: Contoso |
| TargetDomainType | Condizionale | Enumerated | Tipo di TargetDomain. Per un elenco di valori consentiti e altre informazioni, vedere DomainType nell'articolo Panoramica dello schema. Obbligatorio se viene usato TargetDomain . |
| TargetFQDN | Facoltativo | String | Nome host del dispositivo di destinazione, incluse le informazioni sul dominio, se disponibili. Esempio: Contoso\DESKTOP-1282V4D Nota: questo campo supporta sia il formato FQDN tradizionale che il formato domain\hostname di Windows. TargetDomainType riflette il formato usato. |
| TargetDescription | Facoltativo | String | Testo descrittivo associato al dispositivo. Ad esempio: Primary Domain Controller. |
| TargetDvcId | Facoltativo | String | ID del dispositivo di destinazione. Se sono disponibili più ID, usare quello più importante e archiviare gli altri nei campi TargetDvc<DvcIdType>. Esempio: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Facoltativo | String | ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. TargetDvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| TargerDvcScope | Facoltativo | String | L'ambito della piattaforma cloud a cui appartiene il dispositivo. TargetDvcScope esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| TargetDvcIdType | Condizionale | Enumerated | Tipo di TargetDvcId. Per un elenco di valori consentiti e altre informazioni, vedere DvcIdType nell'articolo Panoramica dello schema. Obbligatorio se viene usato TargetDeviceId . |
| TargetDeviceType | Facoltativo | Enumerated | Tipo del dispositivo di destinazione. Per un elenco di valori consentiti e altre informazioni, vedere DeviceType nell'articolo Panoramica dello schema. |
| TargetIpAddr | Facoltativo | Indirizzo IP | Indirizzo IP del dispositivo di destinazione. Esempio: 2.2.2.2 |
| TargetDvcOs | Facoltativo | String | Sistema operativo del dispositivo di destinazione. Esempio: Windows 10 |
| TargetPortNumber | Facoltativo | Intero | Porta del dispositivo di destinazione. |
| TargetGeoCountry | Facoltativo | Country | Paese associato all'indirizzo IP di destinazione. Esempio: USA |
| TargetGeoRegion | Facoltativo | Paese | Area associata all'indirizzo IP di destinazione. Esempio: Vermont |
| TargetGeoCity | Facoltativo | Città | Città associata all'indirizzo IP di destinazione. Esempio: Burlington |
| TargetGeoLatitude | Facoltativo | Latitude | Latitudine della coordinata geografica associata all'indirizzo IP di destinazione. Esempio: 44.475833 |
| TargetGeoLongitude | Facoltativo | Longitude | Longitudine della coordinata geografica associata all'indirizzo IP di destinazione. Esempio: 73.211944 |
| TargetRiskLevel | Facoltativo | Intero | Livello di rischio associato alla destinazione. Il valore deve essere regolato in un intervallo di 0 in , con 0 per un rischio non dannoso e 100 per 100un rischio elevato.Esempio: 90 |
| TargetOriginalRiskLevel | Facoltativo | Intero | Livello di rischio associato alla destinazione, come segnalato dal dispositivo di report. Esempio: Suspicious |
Campi di ispezione
I campi seguenti vengono usati per rappresentare l'ispezione eseguita da un sistema di sicurezza.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| RuleName | Facoltativo | String | Nome o ID della regola associata ai risultati dell'ispezione. |
| RuleNumber | Facoltativo | Intero | Numero della regola associata ai risultati dell'ispezione. |
| Regola | Alias | String | Valore di RuleName o valore di RuleNumber. Se viene usato il valore di RuleNumber , il tipo deve essere convertito in stringa. |
| ThreatId | Facoltativo | String | ID della minaccia o del malware identificato nell'attività di controllo. |
| ThreatName | Facoltativo | String | Nome della minaccia o del malware identificato nell'attività di controllo. |
| ThreatCategory | Facoltativo | String | Categoria della minaccia o del malware identificato nell'attività del file di controllo. |
| ThreatRiskLevel | Facoltativo | Intero | Livello di rischio associato alla minaccia identificata. Il livello deve essere un numero compreso tra 0 e 100. Nota: il valore potrebbe essere fornito nel record di origine usando una scala diversa, che deve essere normalizzata per questa scala. Il valore originale deve essere archiviato in ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Facoltativo | String | Livello di rischio segnalato dal dispositivo di report. |
| ThreatConfidence | Facoltativo | Intero | Livello di attendibilità della minaccia identificata, normalizzato in un valore compreso tra 0 e 100. |
| ThreatOriginalConfidence | Facoltativo | String | Livello di attendibilità originale della minaccia identificata, come segnalato dal dispositivo di report. |
| ThreatIsActive | Facoltativo | Booleano | True se la minaccia identificata è considerata una minaccia attiva. |
| ThreatFirstReportedTime | Facoltativo | datetime | La prima volta che l'indirizzo IP o il dominio sono stati identificati come minaccia. |
| ThreatLastReportedTime | Facoltativo | datetime | L'ultima volta che l'indirizzo IP o il dominio sono stati identificati come minaccia. |
| ThreatIpAddr | Facoltativo | Indirizzo IP | Indirizzo IP per il quale è stata identificata una minaccia. Il campo ThreatField contiene il nome del campo ThreatIpAddr rappresenta. |
| ThreatField | Facoltativo | Enumerated | Campo per il quale è stata identificata una minaccia. Il valore può essere SrcIpAddr o TargetIpAddr. |
Aggiornamenti dello schema
Queste sono le modifiche apportate alla versione 0.1.1 dello schema:
- Campi di entità utente e dispositivo aggiornati per allinearsi ad altri schemi.
- Rinominato
TargetDvceSrcDvcrispettivamente in per allinearsiTargetSrcalle linee guida correnti di ASIM. I campi rinominati verranno implementati come alias fino al 1° luglio 2022. Questi campi includono:SrcDvcHostname,SrcDvcTypeSrcDvcHostnameType,SrcDvcIpAddr,TargetDvcHostname,TargetDvcHostnameType,TargetDvcType,TargetDvcIpAddr, eTargetDvc. - Sono stati aggiunti gli alias
SrceDst. - Sono stati aggiunti i campi
SrcDvcIdType,SrcDeviceTypeTargetDvcIdType, eTargetDeviceTypeeEventSchema.
Queste sono le modifiche apportate alla versione 0.1.2 dello schema:
- Sono stati aggiunti i campi
ActorScope,SrcDvcScopeSrcDvcScopeIdTargetDvcScopeIdTargetUserScope,TargetDvcScope,DvcScopeId, e .DvcScope
Queste sono le modifiche apportate alla versione 0.1.3 dello schema:
- Sono stati aggiunti i campi
SrcPortNumber,ActorOriginalUserTypeActorScopeId,TargetOriginalUserType,TargetUserScopeId,SrcDescription,SrcRiskLevel,SrcOriginalRiskLeveleTargetDescription. - Aggiunta di campi di ispezione
- Aggiunta dei campi di posizione geografica del sistema di destinazione.
Passaggi successivi
Per altre informazioni, vedi: